Ransomware-Angriffe eindämmen

Lesezeit
weniger als
1 Minute
Bis jetzt gelesen

Ransomware-Angriffe eindämmen

17.10.2023 - 07:00
Veröffentlicht in:

War Ransomware vor einigen Jahren noch einfach gestrickt – schadhafte Datei ausführen und die Verschlüsselung läuft los – geben sich die Angreifer heute deutlich mehr Mühe. Sie infiltrieren das Unternehmensnetzwerk, suchen gezielt nach wertvollen Daten und erst wenn sie nach einer oft langen Vorbereitungszeit soweit sind, erfolgt der Paukenschlag. Microsoft hat Defender for Endpoint nun dahingehend ausgebaut, dieses Eindringen und Vorarbeiten der Hacker zu erkennen und einzudämmen.

Die automatische Angriffsunterbrechung nutzt hierfür Signale aus den Microsoft-365-Defender-Workloads wie Identitäten, Endpunkte, E-Mail und Software-as-a-Service-Anwendungen, um fortgeschrittene Angriffe zu unterbrechen. Wird der Beginn einer händisch durchgeführten Attacke auf einem einzelnen Gerät erkannt, soll die Angriffsunterbrechung die Kampagne auf diesem Gerät stoppen und gleichzeitig alle anderen Geräte im Unternehmen schützen.

Hierfür würden kompromittierte Benutzer auf den Devices eingedämmt und die Angreifer so ausmanövriert, bevor sie die Möglichkeit haben, Konten zu nutzen, um sich lateral fortzubewegen, Anmeldedaten zu stehlen oder Daten zu exfiltrieren und zu verschlüsseln. Diese standardmäßig aktivierte Funktion erkennt laut Microsoft dabei, ob der kompromittierte User mit einem anderen Endpunkt in Verbindung steht, und unterbricht die ein- und ausgehende Kommunikation.

Selbst wenn ein Benutzer über die höchste Berechtigungsstufe verfügt und sich normalerweise außerhalb des Bereichs einer Sicherheitskontrolle befindet, würde der Angreifer dennoch am Zugriff auf die Geräte im Unternehmen gehindert. Derzeit befindet sich das Feature in einer öffentlichen Preview für Kunden mit Microsoft Defender for Endpoint Plan 2 und Defender for Business Standalone.

Ähnliche Beiträge